Definición y propósito

El objetivo principal de ISO/IEC 15408 o Criterios Comunes es proporcionar un conjunto estándar de requisitos para la funcionalidad de seguridad de los productos TI y para las medidas de aseguramiento aplicadas a estos productos durante una evaluación de seguridad. Permite a los proveedores tener sus productos evaluados y certificados de forma independiente contra estándares de seguridad reconocidos, y proporciona a los compradores una métrica para determinar las propiedades de seguridad de los productos TI.

Organismo de Gobierno

El estándar es desarrollado y publicado conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

Última actualización

ISO/IEC 15288 fue actualizada por última vez en 2022, conocido como ISO/IEC15288-1:2022.

Se aplica a

ISO/IEC 15408 se aplica a las industrias de TI y a cualquier otro sector que dependa de productos TI y quiera asegurar que esos productos cumplan con criterios de seguridad específicos. Esto incluye, pero no se limita a, sectores como el gobierno, defensa, sanidad, finanzas y telecomunicaciones.

Controles y requisitos

El marco de los Criterios Comunes consta de tres partes principales:

• Introducción y Modelo General - Abarca los conceptos y principios generales de la evaluación de seguridad TI y sienta las bases para las otras partes.
• Componentes Funcionales de Seguridad - Define un conjunto de requisitos funcionales de seguridad, que se utilizan como criterios para evaluar las capacidades de seguridad de un producto.
• Componentes de Aseguramiento de Seguridad - Describe los criterios detallados para las medidas de aseguramiento aplicadas a los productos durante una evaluación de seguridad.

Para lograr la certificación, un producto debe cumplir con perfiles de protección (PP) específicos que definen un conjunto estándar de requisitos de seguridad para un tipo particular de producto o sistema.

Consulte la documentación oficial de ISO/IEC15288-1:2022 para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Las evaluaciones contra los Criterios Comunes se llevan a cabo en instalaciones de evaluación autorizadas, lo que lleva a la concesión de una certificación de seguridad por parte del organismo certificador de un país participante. La frecuencia de las evaluaciones a menudo estará impulsada por cambios en el producto, la necesidad de lograr un Nivel de Garantía de Evaluación (EAL) más alto o la expiración de una certificación existente.

El tiempo que lleva una evaluación depende de la profundidad y el alcance de la misma y del Nivel de Garantía de Evaluación (EAL) que se persiga, siendo EAL1 el más básico y EAL7 el más riguroso.